WebHacking現場指南:真實世界抓漏和獵蟲的賞金之旅
Real-WorldBugHunting:AFieldGuidetoWebHacking
PeterYaworski著.林哲逸譯
『這本書充滿了豐富的、真實世界的安全性漏洞報告,還有實用的案例分析。』
──HackerOne共同創辦人MichielPrins&JobertAbma專文推薦
學習人們如何破壞網站,以及你如何也能做到。本書是尋找軟體漏洞必備的現場指南(fieldguide)。無論你是想讓網際網路更安全的資安初學者,還是想要撰寫安全程式碼的資深開發人員,道德駭客PeterYaworski都會向你展示如何做到這一點。
你將學習最常見的漏洞類型,例如XSS(跨網站腳本)、IDOR(不安全的直接物件參考)和SSRF(伺服器端請求偽造)等等。透過研究從Twitter、Facebook、Google、Uber等應用程式中獲得賞金的真實漏洞案例,你將理解駭客如何在轉帳時觸發競爭條件、如何使用URL參數導致使用者對非預期的推文按喜歡等等。
每一章將介紹一種漏洞類型,並附有一系列已結案的真實BugBounty(錯誤賞金)。本書收集了來自實戰現場的故事,作者將教會你,攻擊者如何誘騙使用者洩露他們的敏感資訊,以及精明的使用者如何令網站顯示出它們的弱點。你甚至可以學到,如何將這充滿挑戰性的新興趣發展成為一項成功的事業。
✎學習目標✎
❁網際網路是如何運作的?
❁WebHacking的基本觀念
❁攻擊者是如何入侵網站的?
❁如何識別常見的容易出現漏洞的功能?
❁從哪裡開始「抓漏」和「獵蟲」?
❁如何尋找BugBounty計畫並提交有效的漏洞報告?
本書是一本引人入勝、徹頭徹尾的網路安全性漏洞入門書籍,充滿了來自戰壕的故事與實用的智慧。當你對網站安全性及弱點有了新的理解,你就可以提供協助,讓網路變得更安全──同時你還可以從中獲利。
